《校园网安全接入统一认证系统演示文件.ppt》由会员分享,可在线阅读,更多相关《校园网安全接入统一认证系统演示文件.ppt(27页珍藏版)》请在三一办公上搜索。
1、1,校园网安全接入解决方案-安全可控接入、稳定可靠便捷,校园网安全接入统一认证系统,2,校园网特点 当前,接入方式:有线、无线(增长趋势)应用:资源共享、学术研究、BBS 安全:(1)非法用户接入(2)用户通信信息泄露(3)非法用户访问内网敏感信息、讨论区散布非法言论、DoS、地域:下属学院众多、校区物理分散 用户需要身份认证,通信信息需要保密,认证要实现统一,3,需求现状,传统的认证方式(PPPoE,Web/Porta1)需要对校园网中的用户数据进行频繁的处理,严重影响了网络性能,难以做到网络的安全性、性能和成本的统一 IEEE 802.1X协议为二层协议,不需要到达三层,对设备的整体性能要
2、求不高,可以有效降低建网成本。通过具体的EAP认证方式,可提供强加密方法的无线客户端和服务器之间双向认证,并生成保护无线传输的动态加密密钥,具有可靠的安全性 目录服务可以解决认证统一性的问题,4,解决方案-802.1x+RADIUS+LDAP,解决方案,5,802.1x协议体系结构,6,802.1x提供了一种基于端口的网络接入控制技术,通过在交换机或AP的端口上对接入用户进行访问控制。通过此方式的认证,能够在LAN这种多点访问环境中提供一种点对点识别用户的方式。这里的端口是指连接到LAN的一个单点结构,可以是被认证系统的MAC地址,也可以是服务器或NAS上连接LAN的物理端口,或者IEEE 8
3、02.11WLAN环境中定义的工作站和访问点。,802.1x端口,7,RADIUS AAA,RADIUS是基于挑战应答方式检验和鉴别用户的一种访问控制协议,可以提供集中式认证、可控制的授权以及详细的记费信息。RADIUS认证使用1812端口,计费使用1813端口。RADIUS是应用层的协议,在传输层它被封装在UDP的报文中,进而封装进IP包。,8,目录服务LDAP,为了实现统一认证,即需要将校园网各个应用系统用户的身份认证信息实现统一管理。将如此多的信息统一管理,并要方便用户的查询,一般就需用到目录服务。,9,系统整体结构图,10,客户端子系统模块划分,标准IEEE 802.1x客户端,11,
4、便捷,可扩展性,安全性,灵活性,标准IEEE 802.1x客户端,12,认证过程中,采用消息摘要或公钥数字证书机制,保护用户认证信息认证通过后,作为WPA,WPA2客户端,在NAS和客户端间建立动态会话密钥,安全性,标准IEEE 802.1x客户端,13,用户无需了解802.1x任何相关技术细节 只要记住用户名,密码或安装一下证书用户的配置信息只需在第一次使用时设置一次,以后不必再重设,便捷性,标准IEEE 802.1x客户端,14,采用模块化设计逐层分解,可括展性,用户界面,TLS,MD5,peap,Extensible Authentication Protocal(EAP),EAPOL,
5、802.11 wireless Lan,802.3Ethernet,EapLayer,Data LinkLayer,AuthenticationLayer,EAPOLLayer,Application Layer,标准IEEE 802.1x客户端,15,客户端PAE状态机设计,标准IEEE 802.1x客户端,16,客户端实现,开发工具包 Platform SDK、OpenSSL、WinPcap Windows XP平台上利用集成开发工具VC 6.0,标准IEEE 802.1x客户端,17,802.1x服务器端,服务器端子系统模块划分,18,服务器端设计,图2.20 用户组织结构图,服务器端设
6、计主要是数据库的设计,802.1x服务器端,19,服务器端实现,Linux开源软件 Linux RedHat 9.0+freeRadius 1.1.4+openLDAP 2.3.19+openSSL 0.9.8j+Apache 2.6+phpldapadmin 开源软件的安装与配置,802.1x服务器端,20,客户端软件测试和结果分析,客户端系统Supplicant硬件平台:X86 PC+TL_321G WLAN USB Adapter软件平台:WinXP SP2+W2AAASupplicant_1.0.exe+WinPcap 4.0.exe认证系统NAS 硬件:Cisco Aironet 8
7、02.1 a/b/g Access Point服务器系统硬件平台:X86+RealTek RTL 8139/810 x Family Fast Ethernet NIC 软件平台:Linux RedHat 9.0+freeRadius 1.1.4+openLDAP 2.3.19+openSSL 0.9.8j+Apache 2.6另外,需要一套数字证书,包括root.der,root.pem,client.p12,server.pem。在客户端系统,将 root.der安装到受信任的根证书存储区,将 client.p12安装到个人存储区,并将其设置为可导出的;在服务器系统,将root.pem和s
8、erver.pem放置到相应目录下。,21,EAP-MD5测试结果和分析,22,EAP-MD5测试结果和分析,23,EAP-TLS测试结果和分析,24,EAP-TLS测试结果和分析,25,802.1x 的缺陷与改进,根本一点:基于 8021X及 RADIUS协议的认证采用的“可控端 口”和“不可 控端口”的逻辑功能实质是一把双刃剑,在它实现了业务流与认证流分离的同时,也带来了认证通过之后不可控制的问题与缺陷,即在认证通过之后,可控端口一直处于打开状态,使得同 VLAN里面的非法用户与合法 用户一起能够通过串接 HUB接入并使用网络,即使在认证过程中加入了对 MAC、IP 乃至 VLANID以及 NAS端口号等属性的绑 定,但仅对这些固化表示的认证也不能监管到认证通过后可控端口的状态。DOS攻击:IEEE 8021x没有提供 DoS保护,使得服务器容易耗尽计算资源以及存储资源,而且可能导致合法用户无法正常接入。,26,EAP认证方式的缺陷与改进,EAP-MD5EAP-TLS,27,
